Datenschutz-Folgenabschätzung
Die Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO ist eine strukturierte Risiko-Bewertung, die Verantwortliche vor Beginn einer Verarbeitung mit hohem Risiko für betroffene Personen durchführen müssen. Bei KI-Systemen mit personenbezogenen Daten ist sie in den allermeisten Fällen Pflicht.
Wann sie Pflicht ist
Bei systematischer und umfangreicher Bewertung persönlicher Aspekte (Profiling). Bei umfangreicher Verarbeitung sensibler Daten. Bei systematischer Überwachung öffentlich zugänglicher Bereiche. Die Datenschutzkonferenz (DSK) hat zudem branchenspezifische Listen mit DSFA-Pflicht-Verarbeitungen veröffentlicht.
Was sie enthält
Systematische Beschreibung der Verarbeitung. Bewertung von Notwendigkeit und Verhältnismässigkeit. Bewertung der Risiken für Rechte und Freiheiten der Betroffenen. Geplante Massnahmen zur Risiko-Bewältigung. Beteiligung des Datenschutz-Beauftragten und gegebenenfalls Konsultation der Aufsicht.
DSFA bei KI
KI-spezifische Risiken: Trainings-Daten-Herkunft, automatisierte Entscheidung, Bias, Erklärbarkeit, Modell-Drift, Daten-Leckage über Eingaben. Praxis-Empfehlung: KI-DSFA als eigenes Vorlagen-Muster, das die EU-KI-Verordnung-Risikobewertung integriert. Damit greifen DSGVO-Pflicht und EU-KI-Verordnung-Pflicht in einem Verfahren.
Diese deutsche Fassung wird laufend ausgebaut. Für ein konkretes Projekt nutzen Sie bitte das Beratungsgespräch oder schreiben an info@ainora.lt.